Assurer le risque cyber des collectivités : l’arbre qui cache la forêt
![Image Contenus intimes et IA : que faire face à la déferlante des [contenus abusifs ?]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-dark-content-web-885x690.jpg)
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
La multiplication des cyberattaques sur les collectivités pose légitimement le sujet de l’assurance de ce risque spécifique. Mais la situation des mairies, déjà difficile, est devenue intenable depuis les émeutes de juin 2023. De leur côté, les assureurs s’attellent à l’évaluation et la couverture des dégradations. Le cyber risque n’est plus vraiment prioritaire dans le contexte actuel, sauf à changer totalement la politique d’assurance des collectivités.
Le cyber risque n’a été identifié que relativement récemment en France bien que les assureurs s’en préoccupent depuis longtemps. Cela est indiqué dans un rapport de la Direction générale du Trésor intitulé « Le développement de l’assurance du risque cyber ». Ce dernier a conduit au vote définitif et à l’adoption de la LOPMI (Loi d’orientation et de programmation du ministère de l’Intérieur) par l‘Assemblée Nationale, le 7 décembre 2022.
Dans le cadre d’une « démarche globale de lutte contre le cybercrime », la LOPMI prévoit, conformément à l’une des recommandations du ministère de l’Économie dans son rapport, de subordonner le « versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé […] au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime ».
Des collectivités démunies et un risque inassurable ?
La situation des collectivités territoriales, elles-mêmes très visées par des cyberattaques, pose la question de l’assurance du risque cyber des collectivités locales. Ces dernières sont en effet démunies face à ce risque et encore plus en raison de sa couverture prudentielle.
Les collectivités ont d’autres préoccupations que de s’intéresser à la couverture du risque cyber.Et c’est encore plus prégnant depuis les émeutes de juin 2023. Les maires et leurs familles sont physiquement menacés, les infrastructures de la vie locale sont visées ou détruites et les réunions de crise s‘enchaînent dans les mairies.
Joindre un interlocuteur représentant d’une collectivité sur le sujet de l’assurance cyber est une gageure depuis quelques semaines. « De manière générale et encore plus dans le contexte actuel, assurer les collectivités devient de plus en plus compliqué. Les collectivités doivent faire face a une multiplication des risques, notamment le risque cyber. Or les assureurs, vu l’ampleur des risques, sont de plus en plus réticents pour le couvrir, sauf à un coût que seules les grandes collectivités pourront assumer », précise Denis Mottier, chargé de mission à l’Association des Maires de France.
« On assure les mairies et les collectivités sur des risques d’émeute et d’actes de vandalisme, mais sur la base d’un phénomène exceptionnel et aléatoire. Or si l’aléatoire devient récurrent, on ne pourra plus assurer les collectivités, sauf à appliquer de tels tarifs et franchises qu’elles ne pourront plus être couvertes, et elles ne choisiront certainement pas de couvrir le risque cyber en priorité », confie un assureur du Finistère sous couvert d’anonymat.
Il est à noter que le risque cyber n’est pas spécifiquement couvert pour les collectivités. « Nous n’avons pas de couverture spécifique du risque cyber pour les collectivités, c’est le contrat spécifique cyber qui s’applique, que nous proposons à toutes les entreprises. Dans l’immédiat, peu de collectivités y ont souscrit », précise ce même assureur du Finistère. De toute façon, cela n’intéresse pas les collectivités » précise aussi, sous couvert d’anonymat, un expert spécialisé dans la gestion du risque et des assurances.
Pas de moyens et une forte contrainte réglementaire
La responsabilité de ce désert prudentiel n’en revient-elle pas aux institutions et aux représentants des assurances eux-mêmes ? Dans la plupart des statistiques de cyberattaques, les collectivités sont rarement identifiées comme telles. Ainsi, la deuxième version de l’étude LUCY (LUmière sur la CYberassurance), éditée par l’Amrae (Association pour le management des risques et des assurances de l’entreprise), se fonde sur une analyse statistique de 9 672 polices d’assurance cyber. 7 684 d’entre elles concernent des risques entrepris et aucune des collectivités.
Cette étude établit aussi que le tarif d’une police spécifique cyber s’établit à 9 100 euros de prime annuelle pour des petites entreprises (de 10 à 50 millions d’euros de chiffre d’affaires), avec une capacité couverte de 2,30 millions d’euros et une franchise de 48 000 euros. Rappelons que 52,5% des collectivités locales, en France, comptent moins de 500 habitants. Une franchise de 48 000 euros représente une somme importante pour une petite commune.
Si la responsabilité des collectivités en termes de protection des données équivaut à celles d’un chef d’entreprise, non seulement leur budget ne leur permet pas forcément de faire face à la surcharge financière représentée par une police d’assurance spécifique. Il est à noter aussi que les mairies sont contraintes par le Code des marchés publics et des règles spécifiques aux appels d’offres. Elles ne peuvent donc pas souscrire n’importe quel risque auprès de n’importe quel assureur.